AD域、DNS分離+額外域控制器安裝,及主域控制器損壞解決方法

1、AD域DNS分離+額外域控制器安裝及主域控制器損壞解決方法對(duì)于域控制器的安裝，我們已經(jīng)知道如何同DNS集成安裝，而且集成安裝的方法好處有：使DNS也得到AD的安全保護(hù)，DNS的區(qū)域復(fù)制也更安全，并且集成DNS只廣播修改的部分，相信更多情況下大家選擇集成安裝的方式是因?yàn)楦?jiǎn)潔方便。當(dāng)然你也許會(huì)遇到這樣的情況：客戶的局域網(wǎng)絡(luò)內(nèi)已經(jīng)存在一個(gè)DNS服務(wù)器，并且即將安裝的DC控制器負(fù)載預(yù)計(jì)會(huì)很重，如果覺(jué)得DC本身的負(fù)擔(dān)太重，可把DNS另放在一臺(tái)服務(wù)器上以分擔(dān)單臺(tái)服務(wù)器的負(fù)載。這里我們?cè)O(shè)計(jì)的環(huán)境是一臺(tái)DNS服務(wù)器（DNS-srv）+主域控制器（AD-zhu）+額外域控制器（AD-fu點(diǎn)擊查看額外控制器的作

2、用），另外為了檢驗(yàn)控制器安裝成功與否，是否以擔(dān)負(fù)其作用，我們?cè)侔才乓慌_(tái)客戶端（client-0）用來(lái)檢測(cè)。（其中由于服務(wù)器特性需要指定AD-zhu、AD-fu、DNS-srv為靜態(tài)地址）AD-zhuDC192.168.23.20Client-0客戶端192.168.23.40DNS-srvDNS192.168.23.10AD-fu額外DC192.168.23.30huanjing.png對(duì)于DC和DNS分離安裝，安裝順序沒(méi)有嚴(yán)格要求，這里我測(cè)試的環(huán)境是先安裝DNS。先安裝DC在安裝DNS的話，需要注意的就是DC安裝完后在安裝DNS需要重啟DC以使DNS得到DC向DNS注冊(cè)的SRV記錄，Cnam

3、e記錄，NS記錄。那么我們就以先安裝DNS為例,對(duì)于實(shí)現(xiàn)這個(gè)環(huán)境需要三個(gè)大步驟：1.DNS服務(wù)器的安裝；2.DC主控制器的安裝；3.DC額外控制器的安裝。接下來(lái)我們分步實(shí)現(xiàn)······為了更加了解DC和DNS的關(guān)系，安裝前請(qǐng)先參閱：安裝 Active Directory 的 DNS 要求在成員服務(wù)器上安裝 Active Directory 時(shí)，可將成員服務(wù)器升級(jí)為域控制器。Active Directory 將 DNS 作為域控制器的位置機(jī)制，使網(wǎng)絡(luò)上的計(jì)算機(jī)可以獲取域控制器的 IP 地址。 在 Active Directory 安裝期

4、間，在 DNS 中動(dòng)態(tài)注冊(cè)服務(wù) (SRV) 和地址 (A) 資源記錄，這些記錄是域控制器定位程序 (Locator) 機(jī)制功能成功實(shí)現(xiàn)所必需的。 要在域或林中查找域控制器，客戶端將在 DNS 中查詢域控制器的 SRV 和 A DNS 資源記錄，這些資源記錄為客戶端提供域控制器的名稱和 IP 地址。在這種環(huán)境中，SRV 和 A 資源記錄被稱為定位程序 DNS 資源記錄。(這里說(shuō)明需要DNS支持)向林中添加域控制器時(shí)，將使用定位程序 DNS 資源記錄更新 DNS 服務(wù)器上主持的 DNS 區(qū)域，同時(shí)標(biāo)識(shí)域控制器。為此，DNS 區(qū)域必須允許動(dòng)態(tài)更新 (RFC 2136)，同時(shí)，主持該區(qū)域的 DNS 服

5、務(wù)器必須支持 SRV 資源記錄 (RFC 2782) 才能公布 Active Directory 目錄服務(wù)。（這在安裝DNS過(guò)程中是需要注意的一點(diǎn)） 如果主持權(quán)威 DNS 區(qū)域的 DNS 服務(wù)器不是運(yùn)行 Windows 2000 或 Windows Server 2003 的服務(wù)器，請(qǐng)與您的 DNS 管理員聯(lián)系，確定該 DNS 服務(wù)器是否支持所需的標(biāo)準(zhǔn)。如果服務(wù)器不支持所需標(biāo)準(zhǔn)，或者權(quán)威 DNS 區(qū)域不能被配置為允許動(dòng)態(tài)更新，則需要對(duì)現(xiàn)有 DNS 結(jié)構(gòu)進(jìn)行修改。（這個(gè)也是很重要的一點(diǎn)這里需要更改“起始授權(quán)機(jī)構(gòu)SOA”和“名稱服務(wù)器”用以支持DNS區(qū)域被配置成“允許動(dòng)態(tài)更新”，這在接下來(lái)會(huì)提到）

6、要點(diǎn) 用來(lái)支持 Active Directory 的 DNS 服務(wù)器必須支持 SRV 資源記錄，定位器機(jī)制才能運(yùn)行。建議安裝 Active Directory 之前 DNS 結(jié)構(gòu)應(yīng)允許動(dòng)態(tài)更新定位程序 DNS 資源記錄（SRV 和 A），但是，您的 DNS 管理員可以在安裝后手動(dòng)添加這些資源記錄。 安裝 Active Directory 后，可在下列位置中的域控制器上找到這些記錄：systemrootSystem32ConfigNetlogon.dns（這說(shuō)明DNS設(shè)置為“不允許動(dòng)態(tài)更新”時(shí)，我們可以手動(dòng)更新，但是有難度，且非常麻煩，所以一般建議選擇“允許動(dòng)態(tài)更新”）另外我們說(shuō)DC和DNS安裝

7、順序沒(méi)有太嚴(yán)格要求可從“參閱里面的連接”：圖上標(biāo)志的兩點(diǎn)可看出它們是DC+DNS先后循序的要求和解決方法。DNS服務(wù)器的安裝1.安裝DNS，需要給服務(wù)器指定靜態(tài)IP地址，如下：這里要注意DNS要指定給DNS-srv服務(wù)器本身IP，默認(rèn)網(wǎng)關(guān)可以不用填寫。DNS-setup0.png2.接下來(lái)安裝域名系統(tǒng)（DNS）服務(wù)，先掛載WIN2003安裝鏡像，按照下邊菜單選擇“添加或刪除應(yīng)用程序”DNS-setup1.png3.按照下圖指向，選擇“域名系統(tǒng)（DNS）”服務(wù)，點(diǎn)擊確定。DNS-setup2.png4.完成后，可在“管理工具”中看見(jiàn)DNS服務(wù)了。DNS-setup3.png5.打開(kāi)DNS服務(wù)，右

8、鍵選擇“配置DNS服務(wù)器”。DNS-setup4.png6.下一步DNS-setup5.png7.正向解析就是指從域名解析到IP，反向就是IP到域名的解析。這里我們選擇第二項(xiàng)，正反向解析都做一下。DNS-setup6.pngDNS-setup7.pngDNS-setup8.png8.區(qū)域名稱就是你想要定義的域名DNS-setup9.pngDNS-setup10.png9.這里需要注意一下，請(qǐng)選擇“允許非安全和安全動(dòng)態(tài)更新”，因?yàn)榻酉聛?lái)DC的安裝需要?jiǎng)討B(tài)更新的支持，當(dāng)然我們可以選擇“不允許動(dòng)態(tài)更新”，我將會(huì)在接下的安裝中更改更新設(shè)置。（這在之前的參閱里邊有提到過(guò)）DNS-setup11.png1

9、0.接下來(lái)創(chuàng)建反向解析DNS-setup12.pngDNS-setup13.png11.反向解析其實(shí)是需要一個(gè)一個(gè)填寫的，但是很耗時(shí)間，我們一般填入子網(wǎng)段就可以，這里也是要求填入網(wǎng)段。DNS-setup14.pngDNS-setup15.png12.這里和之前正向解析情況一樣，之后我們會(huì)改成“允許非安全和安全動(dòng)態(tài)更新”DNS-setup16.png13. 在彈出的窗口中設(shè)置NDS的轉(zhuǎn)發(fā)器，在轉(zhuǎn)發(fā)器中輸入“180.168.255.118”和“8.8.8.8（谷歌提供的DNS）”（在該DNS服務(wù)器中無(wú)法解析的域名，該DNS服務(wù)器可以轉(zhuǎn)發(fā)給其他指定的DNS服務(wù)器上進(jìn)行解析，如向ISP（互聯(lián)網(wǎng)服務(wù)提供

10、商）的DNS服務(wù)器轉(zhuǎn)發(fā)）DNS-setup17.pngDNS-setup18.png14.我們建立好正反向解析后，接著在區(qū)域中添加主機(jī)記錄，這里是正向解析做好主機(jī)添加后的情況DNS-setup18-0.pngDNS-setup19.png15.右鍵“正向查找區(qū)域”，新建主機(jī)（A記錄）DNS-setup20.png16.名稱可以任意輸入，顯示的FQDN就是提供DNS服務(wù)的域名，另外我們也可以選擇同時(shí)創(chuàng)建相關(guān)的指針（PTR）記錄，這樣反向解析也會(huì)同時(shí)自動(dòng)生成，我們這里沒(méi)有選擇，接下來(lái)我們會(huì)手動(dòng)創(chuàng)建反向解析 DNS-setup21.png17.反向解析創(chuàng)建和正向解析創(chuàng)建的方法一樣，后邊指定主機(jī)IP和

11、主機(jī)名就可以了，我們可以選擇“瀏覽”以查看并指定我們需要的正向解析主機(jī)名DNS-setup22.pngDNS-setup23.pngDNS-setup24.pngDNS-setup25.png18.選擇好了，確定DNS-setup26.png19.這樣我就創(chuàng)建好正反向解析了，然后我們啟動(dòng)nslookup解析工具來(lái)驗(yàn)證我們創(chuàng)建DNS解析的正確性DNS-setup27.png20.如下情況說(shuō)明我們創(chuàng)建成功DNS-setup28.png21.另外我們還需要更改正向查找區(qū)域的屬性中的“起始授權(quán)機(jī)構(gòu)SOA”和“名稱服務(wù)器”用以支持DNS區(qū)域被配置成“允許動(dòng)態(tài)更新”生效。這在聲明中也有提到過(guò)。DNS-se

12、tup2922.在域?qū)傩灾袨g覽指定的SOA也就是主授權(quán)機(jī)構(gòu)，名稱服務(wù)器也做相應(yīng)的指定。DNS-AD-zhu-setup1.pngDNS-AD-zhu-setup2.png至此，我們的DNS服務(wù)器配置完畢，接下來(lái)我們創(chuàng)建DC 主控制器DC主控制器的安裝1.之前我們已經(jīng)在DNS-srv服務(wù)器上安裝好了DNS（說(shuō)的好拗口，早知道就不起這個(gè)容易混淆的名字了），接下來(lái)我們開(kāi)始在AD-zhu上安裝主域控制器，先查看下主機(jī)情況AD-zhu-setup0.png2.確定在該主機(jī)上可以正常解析到DNS服務(wù)器AD-zhu-nslookup.png3.在運(yùn)行中輸入“dcpromo”確定啟動(dòng)AD安裝向?qū)D-zhu-

13、setup1.pngAD-zhu-setup2.png4.選擇建立“新域的域控制器”AD-zhu-setup3.png5.這個(gè)新域建立在新的林中AD-zhu-setup4.png6.輸入之前我們新創(chuàng)建的DNS全名AD-zhu-setup5.png7.這里出現(xiàn)的NetBIOS域名是向?qū)J(rèn)通過(guò)你指定的DNS全名同時(shí)命名的NetBIOS域名，用以兼容早期Windows版本的用戶來(lái)識(shí)別新的域。AD-zhu-setup6.png8.選擇默認(rèn)安裝位置，也可參考提示選擇不同的保存位置以提高性能AD-zhu-setup7.png9.默認(rèn)AD-zhu-setup8.png10.到這里就出現(xiàn)了之前我們一直在以的

14、動(dòng)態(tài)DNS更新支持，我們可以在正向查找區(qū)域的屬性里更改動(dòng)態(tài)更新的安全性，改成“非安全”即為支持動(dòng)態(tài)更新。至于反向可改可不改，因?yàn)镈C的安裝只要求正向解析，所以之前的反向解析也可不做，之后也可以通過(guò)手動(dòng)做反向解析AD-zhu-setup9-dt.pngDNS-AD-zhu-setup10-dt.pngDNS-AD-zhu-setup11-dt.png11.通過(guò)更改過(guò)后，重試DNS診斷通過(guò)AD-zhu-setup12-dt-ok.png12.根據(jù)實(shí)際生產(chǎn)情況選擇兼容性AD-zhu-setup13.png13.設(shè)置一個(gè)還原模式密碼AD-zhu-setup14.png14.這里會(huì)顯示我們即將安裝的服務(wù)

15、器配置摘要，如果感覺(jué)有些選項(xiàng)不正確，可以點(diǎn)擊上一步進(jìn)行更改，確認(rèn)無(wú)誤，請(qǐng)下一步AD-zhu-setup15.png15.這時(shí)系統(tǒng)會(huì)自動(dòng)配置你的DC，耐心等待結(jié)束AD-zhu-setup16.pngAD-zhu-setup17.png16.重啟完成DC的配置AD-zhu-setup18.png17.同時(shí)，我們可以在DNS-srv主機(jī)上刷新查看DNS記錄，發(fā)現(xiàn)多了SRV 和 A DNS 資源記錄，這是DNS用以定位DC的資源記錄AD-zhu-setup19-DNS-jilu.png18.重啟過(guò)后，在AD-zhu服務(wù)器上我們會(huì)發(fā)現(xiàn)AD管理器，說(shuō)明安裝完成AD-zhu-setupover.png19.

16、查看系統(tǒng)屬性，發(fā)現(xiàn)計(jì)算機(jī)名稱有了的后綴，更說(shuō)明創(chuàng)建成功AD-zhu-setupover0.pngAD-zhu-setup0-L.pngDC額外控制器的安裝1.安裝完成主域控制器后，接下來(lái)我們?cè)倮^續(xù)安裝額外控制器，首先查看系統(tǒng)信息，IP地址也是靜態(tài)指定的，另外順便用nslookup檢查一下與DNS服務(wù)器的連接情況AD-fu-setup0.pngAD-fu-setup1.png2和安裝主控制器一樣，我們也通過(guò)dcpromo啟動(dòng)AD安裝向?qū)D-fu-setup2.pngAD-fu-setup3.pngAD-fu-setup4.png3.選擇現(xiàn)有域的額外控制器類型AD-fu-setup5.png4.

17、輸入主域控制器的用戶名密碼和主域控制器名，下一步等待檢測(cè)完成AD-fu-setup6.png5.你可以直接輸入主域控制器名，或者瀏覽存在的域控制器AD-fu-setup7.pngAD-fu-setup7-0.png6.同樣默認(rèn)目錄，下一步AD-fu-setup8.pngAD-fu-setup9.png7.設(shè)置還原模式密碼AD-fu-setup10.pngAD-fu-setup11.png8.這時(shí)額外控制器開(kāi)始從主域控制器復(fù)制文件和服務(wù)AD-fu-setup12.png9.重啟后也能夠看見(jiàn)AD管理器出現(xiàn)了AD-fu-setupover.png10.同樣檢查一下系統(tǒng)信息，查看是否成功添加AD-fu

18、-setupover1.pngAD-fu-setupover0.png11.另外，在DNS-srv服務(wù)器上也能看見(jiàn)相關(guān)解析記錄也被注冊(cè)了進(jìn)去AD-fu-setupover-DNS-jilu.pngAD-fu-setupover-DNS-jilu2.png12.至此，額外控制器也安裝完畢，之后我們會(huì)模擬主域損壞了改怎么解決的情況主域損壞，解決辦法之前我們已經(jīng)將所需要的環(huán)境部署完畢，接下來(lái)我們來(lái)進(jìn)一步處理災(zāi)難情況下主DC損壞，如何使額外DC取代主DC擔(dān)負(fù)起活動(dòng)目錄的職責(zé)。環(huán)境狀況如下圖，AD-zhu意外損壞，而DNS-srv、AD-fu正常運(yùn)行，客戶端用于檢測(cè)AD-fu是否成功取代AD-zhu。A

19、D-zhuDC192.168.23.20Client-0客戶端192.168.23.40DNS-srvDNS192.168.23.10AD-fu額外DC192.168.23.301.首先我們來(lái)模擬一下災(zāi)難環(huán)境：讓AD-zhu關(guān)機(jī)不在啟動(dòng)，之后不在出現(xiàn)在實(shí)驗(yàn)環(huán)境中。AD-zhu-inf1.pngAD-zhu-inf2.pngAD-zhu-down3.png2. 在AD-fu額外控制器上打開(kāi)命令提示符，輸入ntdsutil啟用工具，包含的命令內(nèi)容可使用“?”查看AD-fu-del-zhu4.png3.輸入“metadata cleanup”進(jìn)入清理模式，并連接到自身，當(dāng)然也可以連接到其他命名方法。

20、AD-fu-del-zhu5.pngAD-fu-del-zhu7.png4.連接到特定的域控制器后，會(huì)退到上一級(jí)，使用“select operation target”選擇站點(diǎn)，服務(wù)器，域，角色和命名上下文AD-fu-del-zhu8.png5.首先列出存在的站點(diǎn)列表AD-fu-del-zhu9.png這里只存在一個(gè)站點(diǎn)，用“0”表示AD-fu-del-zhu10.png6.我們選擇這個(gè)站點(diǎn)“select site 0”，并列出包含在這個(gè)站點(diǎn)中的域AD-fu-del-zhu11.png7.這個(gè)站點(diǎn)中只包含了一個(gè)“funsion”域，也是用0表示的AD-fu-del-zhu12.png8.選擇這

21、個(gè)域，并列出所選域和站點(diǎn)中的服務(wù)器AD-fu-del-zhu13.png9.這里列出了我們環(huán)境中存在的兩個(gè)服務(wù)器AD-fu-del-zhu14.png10.我們選擇“0”指定“AD-zhu”因?yàn)槲覀円獎(jiǎng)h除主控制器AD-fu-del-zhu15.png11.選擇完畢后，退回上一層，進(jìn)行刪除工作。AD-fu-del-zhu16.png12.使用“remove selected server”刪除所選的AD-zhu，彈出對(duì)話框，選擇確定AD-fu-del-zhu16-1.png13. 確定后，會(huì)自動(dòng)彈出讓你選擇AD-fu對(duì)主控制器角色奪取的對(duì)話框。其中會(huì)碰到失敗和錯(cuò)誤的提示消息，忽略，依次選擇“是”

22、。直到刪除結(jié)束AD-fu-del-zhu17.pngAD-fu-del-zhu18.pngAD-fu-del-zhu19.pngAD-fu-del-zhu20.pngAD-fu-del-zhu21.png14.到這里我們將AD-zhu的元數(shù)據(jù)從AD-fu上清除了。AD-fu-del-zhu22.png15.在圖形界面，打開(kāi)“Active Directory 站點(diǎn)和服務(wù)”下把“AD-zhu”選中，右擊“刪除”。AD-fu-del-zhu28.pngAD-fu-del-zhu29.pngAD-fu-del-zhu30.png16.現(xiàn)在“AD-zhu”主機(jī)已經(jīng)沒(méi)有了，展開(kāi)site->defau

23、lt-first-site-name->servers，展開(kāi)AD-fu，右擊“NTDS Settings”點(diǎn)“屬性”，勾上全局編錄前面的勾，點(diǎn)確定，如圖所示：AD-fu-del-zhu31.pngAD-fu-del-zhu32.png17.打開(kāi)“AD用戶和計(jì)算機(jī)”找到“AD-zhu”也就是原來(lái)的主域控制器，右擊“刪除”。期間彈出對(duì)話框，選擇“是”。AD-fu-del-zhu33.pngAD-fu-del-zhu34.png18.到這里，我們就把AD-zhu刪除掉了。AD-fu-del-zhu35.png19.之前刪除AD-zhu的過(guò)程中，系統(tǒng)自動(dòng)提示我們用AD-fu奪取AD-zhu上的角色，有失敗之處，所以接下來(lái)我們?cè)俅问謩?dòng)讓